X
X
L'auditoire

Téléchargez le dernier numéro de L'auditoire !

auditoire

Archives

time_machine

Remontez dans le temps ! Retrouvez tous les anciens articles de L'auditoire ici.

Rejoignez-nous sur Facebook

Suivez notre actualité au quotidien; retrouvez chaque jour articles, concours et photos!

Facebook
Politique / Société
L'Internet brisé ?
Le développement toujours plus important de nouvelles technologies est certes une bonne chose, mais l’erreur étant humaine, de petites inexactitudes de programmation peuvent laisser un trou béant dans les systèmes de sécurité informatique, pour le bonheur des hackers en tous genres. 2014 a été le théâtre de la découverte de failles importantes.

Source : heartbleed.com


L’écorcheur de serveurs
Souvenez-vous: le 25 avril 2014, le Centre Informatique de l'Unil envoyait à tous ses étudiants et collaborateurs une alerte concernant une faille nommée Heartbleed. Si le Centre informatique nous assurait avoir pu prendre les mesures nécessaires avant que la faille n'ait pu être exploitée, la précaution recommandait que chacun change son mot de passe, puisqu'un risque pouvait toujours être présent.
Même si la faille n'a pas fait parler d'elle pendant très longtemps, les milieux concernés ont rapidement publié des informations concernant ce qu'est la faille et les moyens de la circonscrire. Il s'agit en réalité d'une mise à jour du système de cryptage OpenSSL, qui est utilisé dans environ 2/3 des serveurs en activité: outre les services proposé par l'Université de Lausanne (MyUnil et le Webmail), sont aussi notamment concernés des serveurs hébergeant d’importants réseaux sociaux (Wikimedia, Reddit, Pinterest, Tumblr), de même que des services de jeux en ligne (Steam, Riot Games, etc.) et même des anciennes versions du système d'exploitation Android.
L'origine de Heartbleed réside dans le code source de OpenSSL. Étant, comme son nom l'indique, libre de droit, un développeur bénévole a proposé des modifications du programme qui ont été validées fin 2011 et ajoutée dans le code source en mars 2012, ce qui le fit passer de sa version 1.0.0. à sa version 1.0.1. C’est cette modification qui a ajouté la faille dans le programme, sans doute en raison d’une erreur de conception.
Deux ans plus tard, Heartbleed était découverte, notamment par l'équipe sécurité de Google qui a donné l'alerte le 6 avril 2014. De nombreux exploitants de sites qui tournaient sur ces serveurs ont, par précaution, enjoint leurs utilisateurs/client à modifier leurs accès.
Même si des correctifs ont été apportés depuis, la faille est encore susceptible de faire des vagues. En effet, Heartbleed est une faille suffisamment importante pour permettre à n'importe quel hacker mal intentionné de collecter les informations personnelles situées sur les serveurs d'un site vulnérable, ce qui concerne notamment les identifiants et mots de passe des utilisateurs. Cela leur permettait par extension d'accéder à plus ou moins n'importe quel service: boîte email, comptes bancaires ou autres. Cerise sur le gâteau, le fait que la faille n'ait pas été découverte pendant près de deux ans fait que lesdits hackers auraient largement eu la liberté de venir collecter les données nécessaires dans ce laps de temps. Il y a de quoi avoir peur, dans la mesure où les contours de la faille n'ont jamais été vraiment déterminés et que les hackers pourraient toujours accéder aux comptes dont ils auraient volé les données avant le correctif apporté à OpenSSL.

Le briseur de systèmes
Si ces sombres nouvelles ont de quoi faire frémir plus d'un internaute, on a découvert bien plus récemment l'existence d'une faille dont l'impact est d'autant plus important.
Baptisée Shellshock et découverte le 24 septembre de cette année par un ingénieur de la société Red Hat, cette dernière touche cette fois-ci le shell Unix bash : il s'agit, pour simplifier, de l'interprète de commandes qui se trouve dans l'interface utilisateur Unix. De nombreux ordinateurs fonctionnant avec le système d'exploitation MacOS ou Linux, ainsi que de nombreux serveurs en activité, sont ainsi concernés par la faille.

Source : robsteele.com

Le shell est l'outil qui permet à l'utilisateur d'accéder aux diverses fonctions du système d'exploitation. Par-là, il faut comprendre que le hacker qui réussit à s'y introduire peut pratiquement faire ce qu'il veut du système infiltré: accéder et aux données qui s'y trouvent et les modifier, les copier ou les effacer, lancer des applications, etc. Les possibilités sont par conséquent bien plus étendues qu'avec Heartbleed, d'autant plus que l'attaque au moyen de Shellshock serait beaucoup plus facile à réaliser. Et, cerise sur le gâteau : contrairement à la précédente faille, Shellshock est présente dans le code source du shell bash depuis sa création, soit près de 22 ans…
Là aussi, les milieux concernés ont réagi rapidement et publié des outils pour corriger la faille; là aussi, ils ne permettent pas de se protéger contre toutes les attaques, et, sait-on jamais, les hackers connaissaient peut-être la faille bien avant qu'elle soit rendue publique.
Avec toutes ces nouvelles, il y a de quoi devenir paranoïaque: si l'informatique et l'Internet représentent un progrès pour l'humanité à bien des égards, offrant un accès à une quantité de données quasiment infinie, nous avons encore de la peine à les maîtriser. Heartbleed et Shellshock ne sont que des exemples parmi tant d'autres qui prouvent que l'erreur est humaine et que, sur le long terme, pareils risques ont des chances non-négligeables de se reproduire. Il conviendra de redoubler de prudence...

Téléchargez le dernier numéro de L'auditoire !

auditoire

Archives

time_machine

Remontez dans le temps ! Retrouvez tous les anciens articles de L'auditoire ici.

Rejoignez-nous sur Facebook

Suivez notre actualité au quotidien; retrouvez chaque jour articles, concours et photos!

Facebook

Téléchargez le dernier numéro de L'auditoire !

auditoire

Archives

time_machine

Remontez dans le temps ! Retrouvez tous les anciens articles de L'auditoire ici.

Rejoignez-nous sur Facebook

Suivez notre actualité au quotidien; retrouvez chaque jour articles, concours et photos!

Facebook

Recherchez dans les articles

Agenda

Sélection d'événements choisis par la rédaction, pour ne plus rien manquer dans la région.

auditoire

Abonnez-vous, c'est gratuit!

L'auditoire n'est plus envoyé automatiquement à toute la communauté universitaire.
Si vous souhaitez continuer à recevoir notre douce prose dans vos foyers, il vous suffit de remplir le formulaire ci-dessous.

Et si vous nous aimez vraiment beaucoup, vous pouvez souscrire à un abonnement de soutien.